短群签名——Short Group Signatures

Linear Encryption(线性加密)
决策线性问题产生了线性加密（LE）方案，它是ElGamal加密的自然扩展。与ElGamal加密不同，线性加密即使在存在DDH决定算法的群中也是安全的。在此方案中，用户的公钥是一个三组生成元$u,v,h\in G1$；用户私钥是指数$x,y\in {\mathbb{Z}}_p$，使得$u^x=v^y=h$。要对消息$M\in G1$进行加密，选择随机值$a,b\in {\mathbb{Z}}_p$，并输出三元组$(u^a,v^b,m\cdot h^{a+b})$。为了从加密$(T_1,T_2,T_3)$中恢复消息，用户计算$T_3/(T_1^x\cdot T_2^y)$。通过对ElGamal安全性证明的自然扩展，假设Decision-LA成立，LE在语义上是安全的，不会受到选择明文攻击。

A Zero-Knowledge Protocol for SDH
为了证明一个解决SDH方案的问题，提出一个零知识证明。
公共参数： $g_1,u,v,h\in G_1,g_2,w\in G_2$
$g_1=\psi (g_2),w=g_2^{\gamma }$，其中$\gamma \in {\mathbb{Z}}_p$是秘密值。

协议证明拥有一对$(A,x)$,$A\in G_1,x\in {\mathbb{Z}}_p,A^{x+\gamma }=g_1$，满足$e(A,w{g}_2^x)=e(g_1,g_2)$。
论文中使用Schnorr协议的标准推广来证明一组素数阶离散对数的知识。

Protocol 1. 证明者Alice随机选择指数$\alpha ,\beta \stackrel{\mathrm{R}}{\leftarrow }{\mathbb{Z}}_p$,计算A的线性加密：
$$T_1\leftarrow u^{\alpha }{T}_2\leftarrow v^{\beta }{T}_3\leftarrow A{h}^{\alpha +\beta }(1).$$

Alice计算两个附加值${\delta }_1\leftarrow x\alpha \in {\mathbb{Z}}_p$和${\delta }_2\leftarrow x\beta \in {\mathbb{Z}}_p$。

Alice和Bob对满足以下五个关系的值$(\alpha ,\beta ,x,{\delta }_1,{\delta }_2)$的知识进行证明。
$$\begin{gathered} u^{\alpha }=T_1{v}^{\beta }=T_2 \\ e(T_3,g_2{)}^x\cdot e(h,w{)}^{-\alpha -\beta }\cdot e(h,g_2{)}^{-{\delta }_1-{\delta }_2}=e(g_1,g_2)/e(T_3,w)(2) \\ {T}_1^x{u}^{-{\delta }_1}=1T_2^x{v}^{-{\delta }_2}=1. \end{gathered}$$
(Alice向Bob证明自己拥有五个值$(\alpha ,\beta ,x,{\delta }_1,{\delta }_2)$，但不能让Bob知道这五个数得具体数值。)
Alice随机选择$r_{\alpha },r_{\beta },r_x,r_{{\delta }_1},r_{{\delta }_2}\in {\mathbb{Z}}_p$。根据这些随机值来计算出以下五个值。
$$\begin{gathered} R_1\leftarrow u^{r_{\alpha }}{R}_2\leftarrow v^{r_{\beta }} \\ {R}_3\leftarrow e(T_3,g_2{)}^{r_x}\cdot e(h,w{)}^{-r_{\alpha }-r_{\beta }}\cdot e(h,g_2{)}^{-r_{{\delta }_1}-r_{{\delta }_2}} \\ {R}_4\leftarrow T_1^{r_x}\cdot u^{-r_{{\delta }_1}}{R}_5\leftarrow T_2^{r_x}\cdot v^{-r_{{\delta }_2}}. \end{gathered}$$

随后Alice将发送给验证者$(T_1,T_2,T_3,R_1,R_2,R_3,R_4,R_5)$。验证者Bob发送一个从${\mathbb{Z}}_p$中随机均匀选择的挑战值$c\in {\mathbb{Z}}_p$。Alice计算
$$\begin{array}{rlrl}{s}_{\alpha }\leftarrow r_{\alpha }+c\alpha ,& s_{\beta }\leftarrow r_{\beta }+c\beta ,& s_x\leftarrow r_x+cx,& s_{{\delta }_1}\leftarrow r_{{\delta }_1}+c{\delta }_1\end{array}(3)$$并发回这些值。

最后Bob验证以下五个公式：
$$\begin{array}{rl}{u}^{s_{\alpha }}& \begin{array}{cc}\frac{?}{=}& T_1^c\cdot R_1\end{array}(4)\\ v^{s_{\beta }}& \begin{array}{cc}\stackrel{?}{=}& T_2^c\cdot R_2\end{array}(5)\\ e(T_3,g_2{)}^{s_x}\cdot e(h,w{)}^{-s_{\alpha }-s_{\beta }}\cdot e(h,g_2{)}^{-s_{{\delta }_1}-s_{{\delta }_2}}& \stackrel{?}{=}{\left(e(g_1,g_2)/e(T_3,w)\right)}^c\cdot R_3(6)\\ T_1^{s_x}\cdot u^{-s_{{\delta }_1}}& \begin{array}{cc}\stackrel{?}{=}& R_4\end{array}(7)\\ T_2^{s_x}\cdot v^{-s_{{\delta }_2}}& \begin{array}{cc}\stackrel{?}{=}& R_5(8)\end{array}.\end{array}$$
如果5个都成立，Bob就接受这个证明。

Theorem 1协议1是在DL假设下对SDH元组(A,x)知识的诚实验证者的零知识证明。 定理的证明遵循以下引理，这些引理表明协议是
(1)完整的（验证者总是接受与诚实的证明者的交互），
(2)零知识（可以模拟），以及
(3)知识证明（具有提取器）。

Lemma 1. Protocol 1 是完整的
Proof. 如果Alice是一个拥有SDH元组对$(A,x)$的诚实证明者，她遵循协议中为她指定的计算。在这种情况下
$$u^{s_{\alpha }}=u^{r_{\alpha }+c\alpha }=(u^{\alpha }{)}^c\cdot u^{r_{\alpha }}=T_1^c\cdot R_1$$
因此(4)成立。由于类似的原因(5)成立。此外,
$$T_1^{s_x}{u}^{-s_{{\delta }_1}}=(u^{\alpha }{)}^{r_x+cx}{u}^{-r_{{\delta }_1}-cx\alpha }=(u^{\alpha }{)}^{r_x}{u}^{-r_{{\delta }_1}}=T_1^{r_x}{u}^{-r_{{\delta }_1}}=R_4$$
所以(7)成立。由于类似的原因(8)成立。最后
$e(T_3,g_2{)}^{s_x}\cdot e(h,w{)}^{-s_{\alpha }-s_{\beta }}\cdot e(h,g_2{)}^{-s_{{\delta }_1}-s_{{\delta }_2}}$
=$e(T_3,g_2{)}^{r_x+cx}\cdot e(h,w{)}^{-r_{\alpha }-r_{\beta }-c\alpha -c\beta }\cdot e(h,g_2{)}^{-r_{{\delta }_1}-r_{{\delta }_2}-cx\alpha -cx\beta }$
=$e(T_3,g_2^x{)}^c\cdot e(h^{-\alpha -\beta },w{g}_2^x{)}^c\cdot \left(e(T_3,g_2{)}^{r_x}\cdot e(h,w{)}^{-r_{\alpha }-r_{\beta }}\cdot e(h,g_2{)}^{-r_{{\delta }_1}-r_{{\delta }_2}}\right)$
=$e(T_3{h}^{-\alpha -\beta },w{g}_2^x{)}^c\cdot e(T_3,w{)}^{-c}\cdot (R_3)$
=${\left(e(A,w{g}_2^x)/e(T_3,w)\right)}^c\cdot R_3$
=${\left(e(g_1,g_2)/e(T_3,w)\right)}^c\cdot R_3$
所以(6)成立。

Lemma 2. 对于一个诚实的验证者，可以在决策线性假设下模拟Protocol 1的副本。
Proof. 我们描述了一个模拟器，输出Protocol 1 的副本。模拟器首先选取$A\stackrel{\mathrm{R}}{\leftarrow }{G}_1$，$\alpha ,\beta \stackrel{\mathrm{R}}{\leftarrow }{\mathbb{Z}}_p$。设置$T_1\leftarrow u^{\alpha },T_2\leftarrow v^{\beta },T_3\leftarrow A{h}^{\alpha +\beta }$。假设G1上的DL假设成立，则模拟器生成的元组$（T_1,T_2,T_3）$是从一个分布中提取的，该分布与任何特定证明者的分布输出无法区分。

该模拟的其余部分假设不知道$A,x,\alpha ,\beta$，因此它也可以在预先指定$T_1$、$T_2$和$T_3$时使用。当预先指定的$(T_1,T_2,T_3)$是某个$A$的随机线性加密时，副本的其余部分被完美地模拟，就像在Schnorr知识证明的标准模拟中一样。

模拟器选择一个挑战$c\stackrel{\mathrm{R}}{\leftarrow }{\mathbb{Z}}_p$，和其他值$s_{\alpha },s_{\beta },s_x,s_{{\delta }_1},s_{{\delta }_2}\stackrel{\mathrm{R}}{\leftarrow }{\mathbb{Z}}_p$。模拟器计算$R_1,R_2,R_3,R_4,R_5$。
$$\begin{gathered} R_1\leftarrow u^{s_{\alpha }}\cdot T_1^{-c}{R}_2\leftarrow v^{s_{\beta }}\cdot T_2^{-c}{R}_4\leftarrow T_1^{s_x}\cdot u^{-s_{{\delta }_1}}{R}_5\leftarrow T_2^{s_x}\cdot v^{-s_{{\delta }_2}} \\ {R}_3\leftarrow e(T_3,g_2{)}^{s_x}\cdot e(h,w{)}^{-s_{\alpha }-s_{\beta }}\cdot e(h,g_2{)}^{-s_{{\delta }_1}-s_{{\delta }_2}}\cdot {\left(e(T_3,w)/e(g_1,g_2)\right)}^c. \end{gathered}$$
结果值明显满足(4)-(8)。此外，$R_1,R_2,R_3,R_4,R_5$的分布与真实副本相同。

模拟器输出副本$\begin{array}{r}(T_1,T_2,T_3,R_1,R_2,R_3,R_4,R_5,c,s_{\alpha },s_{\beta },s_x,s_{{\delta }_1},s_{{\delta }_2})\end{array}$。如上所述，假设决策线性假设成立，该副本与协议1的副本无法区分。

Lemma 3. Protocol 1 存在一个提取器。
Proof. 假设提取器可以将上述协议中的证明者倒回到证明者接受挑战$c$之前的点。在协议的第一步，证明者发送$T_1,T_2,T_3$和$R_1,R_2,R_3,R_4,R_5$。然后，为挑战值$c$，证明者用$s_{\alpha },s_{\beta },s_x,s_{{\delta }_1},s_{{\delta }_2}$响应。为了挑战值$c^{\prime }\ne c$，证明者用$\begin{array}{r}{s}_{\alpha }^{\prime },s_{\beta }^{\prime },s_x^{\prime },s_{{\delta }_1}^{\prime },s_{{\delta }_2}^{\prime }\end{array}$来响应。如果证明者是令人信服的，所有五个验证方程(4)-(8)对每一组值都成立。
为简洁起见，设$\Delta c=c-c^{\prime }$，$\Delta s_{\alpha }=s_{\alpha }-s_{\alpha }^{\prime }$，同样地，设$\Delta s_{\beta },\Delta s_x,\Delta s_{{\delta }_1},\Delta s_{{\delta }_2}$。

现在考虑上面的(4)。通过除以这个方程的两个实例（一个使用$c$，另一个使用$c^{\prime }$），我们得到$u^{\Delta s_{\alpha }}=T_1^{\Delta c}$。指数在一组已知的素数阶中，所以我们可以求根；令$\tilde{\alpha }=\Delta s_{\alpha }/\Delta c$。那么$u^{\tilde{\alpha }}=T_1$。同样地，由式(5)，我们得到了$\tilde{\beta }=\Delta s_{\beta }/\Delta c$，使得$v^{\tilde{\beta }}=T_2$。

考虑上面的公式(7)。通过除以两个实例，可以得到$T_1^{\Delta s_x}=u^{\Delta s_{{\delta }_1}}$。代入$T_1=u^{\tilde{\alpha }}$得到$u^{\tilde{\alpha }\Delta s_x}=u^{\Delta s_{{\delta }_1}}$或者$\Delta s_{{\delta }_1}=\tilde{\alpha }\Delta s_x$。类似的，从(8)中可以推断出$\Delta s_{{\delta }_2}=\tilde{\beta }\Delta s_x$。最后，将(6)的两个实例相除，得到
$$\begin{array}{rl}{\left(\begin{array}{c}e(g_1,g_2)/e(T_3,w)\end{array}\right)}^{\Delta c}& =e(T_3,g_2{)}^{\Delta s_x}\cdot e(h,w{)}^{-\Delta s_{\alpha }-\Delta s_{\beta }}\cdot e(h,g_2{)}^{-\Delta s_{{\delta }_1}-\Delta s_{{\delta }_2}}\\ & =e(T_3,g_2{)}^{\Delta s_x}\cdot e(h,w{)}^{-\Delta s_{\alpha }-\Delta s_{\beta }}\cdot e(h,g_2{)}^{-\tilde{\alpha }\Delta s_x-\tilde{\beta }\Delta s_x}.\end{array}$$

令$\tilde{x}=\Delta s_x/\Delta c$，得
$$e(g_1,g_2)/e(T_3,w)=e(T_3,g_2{)}^{\tilde{x}}\cdot e(h,w{)}^{-\tilde{\alpha }-\tilde{\beta }}\cdot e(h,g_2{)}^{-\tilde{x}(\tilde{\alpha }+\tilde{\beta })}$$
可以重新排列得到：$e(g_1,g_2)=e(T_3{h}^{-\tilde{\alpha }-\tilde{\beta }},w{g}_2^{\tilde{x}})$
或者，设$\tilde{A}=T_3{h}^{-\tilde{\alpha }-\tilde{\beta }}$
$$e(\tilde{A},w{g}_2^{\tilde{x}})=e(g_1,g_2)$$

这样提取器就得到了一个SDH元组$(A,x)$，而且这个SDH元组中的$A$必然与线性加密$（T_1,T_2,T_3）$中的$A$相同。

基于SDH 的短群签名
通过Fiat-Shamir启发式从知识证明中获得的签名通常被称为知识签名。
KeyGen(n): 该随机化算法以参数n(群体成员的数量)作为输入。在$G_2$中均匀随机选择一个生成元$g_2$，并设$g_1\leftarrow \psi (g_2)$，${\xi }_1,{\xi }_2\stackrel{\mathrm{R}}{\leftarrow }{\mathbb{Z}}_p^{\ast }$，$u,v\in G_1$，$u^{{\xi }_1}=v^{{\xi }_2}=h$，$\gamma \stackrel{\mathrm{R}}{\leftarrow }{\mathbb{Z}}_p^{\ast }$，$w=g_2^{\gamma }$。

使用$\gamma$为每个用户i($1\le i\le n$)生成一个SDH元组$(A_i,x_i)$:随机选择$x_i\stackrel{\mathrm{R}}{\leftarrow }{\mathbb{Z}}_p^{\ast }$，设置$A_i\leftarrow g_1^{1/(\gamma +x_i)}\in G_1$。
群组公钥为$\text{gpk }=(g_1,g_2,h,u,v,w)$，群管理员(可跟踪签名的一方)的私钥为$\mathrm{gmsk}=({\xi }_1,{\xi }_2)$。每个用户的私钥是$\mathbf{gsk}[i]=(A_i,x_i)$。任何一方都不允许拥有$\gamma$。只有私钥发行者知道它。

Sign(gpk,gsk[i],M): 给定群公钥$\text{gpk }=(g_1,g_2,h,u,v,w)$，用户密钥$\mathbf{gsk}[i]=(A_i,x_i)$，消息 M ∈ { 0 , 1 } ∗ M \in\{0,1\}^* M∈{0,1}∗计算签名如下：

1. 计算协议1第一轮中指定的$T_1,T_2,T_3,R_1,R_2,R_3,R_4,R_5$的值(公式（1)和(2)）。
2. 使用哈希函数计算挑战$c$：
   $$c\leftarrow H(M,T_1,T_2,T_3,R_1,R_2,R_3,R_4,R_5)\in {\mathbb{Z}}_p(9)$$
3. 使用$c$构造值$s_{\alpha },s_{\beta },s_x,s_{{\delta }_1},s_{{\delta }_2}$如Protocol 1 的式(3)。
4. 输出签名$\sigma \leftarrow (T_1,T_2,T_3,c,s_{\alpha },s_{\beta },s_x,s_{{\delta }_1},s_{{\delta }_2})$

Verify(gpk,M,$\sigma$) : 给定群公钥$\text{gpk }=(g_1,g_2,h,u,v,w)$，消息$M$和群签名$\sigma$，验证$\sigma$是有效签名，如下所示：

5. 利用式(4)-式(8)重新导出$R_1,R2,R3,R4,R5$如下：
   $$\begin{gathered} \widetilde{R_1}\leftarrow u^{s_{\alpha }}\cdot T_1^{-c}\widetilde{R_2}\leftarrow v^{s_{\beta }}\cdot T_2^{-c}\widetilde{R_4}\leftarrow T_1^{s_x}\cdot u^{-s_{{\delta }_1}}\widetilde{R_5}\leftarrow T_2^{s_x}\cdot v^{-s_{{\delta }_2}} \\ \widetilde{R_3}\leftarrow e(T_3,g_2{)}^{s_x}\cdot e(h,w{)}^{-s_{\alpha }-s_{\beta }}\cdot e(h,g_2{)}^{-s_{{\delta }_1}-s_{{\delta }_2}}\cdot {\left(e(T_3,w)/e(g_1,g_2)\right)}^c. \end{gathered}$$
6. 检查这些值，以及σ中包含的其他第一轮值给出挑战c，即
   $$c\stackrel{?}{=}H(M,T_1,T_2,T_3,{\tilde{R}}_1,{\tilde{R}}_2,{\tilde{R}}_3,{\tilde{R}}_4,{\tilde{R}}_5)$$
   如果检查成功则接受，否则拒绝。

Open(gpk,gmsk,M,$\sigma$): 该算法用于跟踪签名到签名者。输入群公钥$\text{gpk }=(g_1,g_2,h,u,v,w)$和对应的组管理员私钥$\mathrm{gmsk}=({\xi }_1,{\xi }_2)$，以及消息$M$和签名$\sigma =(T_1,T_2,T_3,c,s_{\alpha },s_{\beta },s_x,s_{{\delta }_1},s_{{\delta }_2})$进行跟踪，如下所示。

1. 验证$\sigma$是$M$上的有效签名。
2. 其次，将前三个元素$（T_1,T_2,T_3）$作为线性加密，按照$T_3/(T_1^x\cdot T_2^y)$，将用户的A还原为$A\leftarrow T_3/(T_1^{{\xi }_1}\cdot T_2^{{\xi }_2})$。如果给组管理员用户私钥的元素 { A i } \{A_i\} {Ai​}，他可以查找从签名中恢复的身份A对应的用户索引。

Signature Length. 系统中的群签名由$G_1$的3个元素和${\mathbb{Z}}_p$的6个元素组成。使用[1]中描述的任何曲线族，可以取p为170位素数，并使用每个元素为171位的群G1。这样，组签名的总长度为1533位（192字节）。使用这些参数，安全性与标准的1024位RSA签名大致相同，即128字节。

Performance. 签名者和验证者都可以预先计算和缓存$e(h,w),e(h,g_2),e(g_1,g_2)$。签名者可以缓存$e(A,g_2)$,并在签名时计算$e(T_3,g_2)$,而无需计算配对。因此，创建群签名需要8次幂运算（或乘法幂运算）。验证者可以通过将$e(T_3,g_2{)}^{s_x}$和$e(T_3,w{)}^c$压缩成单个$e(T_3,w^c{g}_2^{s_x})$来有效地导出${\tilde{R}}_3$。因此，验证群签名需要6次乘法幂运算和1次配对计算。使用如上所述选择的参数，指数在每种情况下都是170位的数字。对于签名者，所有求幂的基数都是固定的，这允许通过预计算进一步加速。

[1]D. Boneh, B. Lynn, and H. Shacham. Short signatures from the Weil pairing. In Proceedings of Asiacrypt 2001, volume 2248 of LNCS, pages 514–32. Springer-Verlag, Dec. 2001.